Czy istnieje coś takiego jak klauzula informacyjna?

W obszarze ochrony danych osobowych od pewnego czasu funkcjonuje dosyć powszechnie taki termin jak “klauzula informacyjna”. Jest to potoczna i niepoprawna nazwa dla informacji, które administrator danych osobowych ma przekazywać osobom, których dane przetwarza (w kontekście RODO chodzi o art. 13 i art. 14). Dlaczego jest niepoprawna? Bo klauzula to:

1. «zastrzeżenie lub warunek w umowie, układzie, traktacie itp.»
2. «końcowy odcinek wersu o stałej budowie określanej przez reguły danego systemu wersyfikacyjnego»
3. «w retoryce starożytnej: zakończenie zdania lub jego części określonym układem sylab długich i krótkich»
4«zwrot melodyczny głosu w kadencji»

Słownik Języka Polskiego

Jest to więc postanowienie lub warunek w umowie. Nie jest to zestaw informacji prezentowany poza umową, nie jest to żadne samodzielne oświadczenie, obwieszczenie, poinformowanie.

Dla porównania, zobaczmy prawdziwą klauzulę informacyjną.

Przykładowo “dużą klauzulą informacyjną” nazywano postanowienie zawarte w umowie w Umowie pomiędzy Polską a Bułgarią z 1994 roku, wspomina o tym Sąd Najwyższy w jednym ze swoich orzeczeń:

Z treści art. 27 ust. 1 umowy z dnia 11 kwietnia 1994 r. między Rzecząpospolitą Polską a Republiką Bułgarii w sprawie unikania podwójnego opodatkowania w zakresie podatków od dochodu i majątku wynika, że: “Właściwe władze Umawiających się Państw będą wymieniały informacje konieczne do stosowania postanowień niniejszej umowy, a także informacje o ustawodawstwie wewnętrznym Umawiających się Państw, dotyczące podatków wymienionych w niniejszej umowie, w takim zakresie, w jakim opodatkowanie, jakie ono przewiduje, nie jest sprzeczne z umową, jak również informacje zapobiegające uchylaniu się od opodatkowania.” (tzw. duża klauzula informacyjna)

I SA/Kr 232/13 – Wyrok WSA w Krakowie

A o “małą klauzuli informacyjnej” możemy się dowiedzieć z “Orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej w sprawach podatkowych: Komentarz” (Włodzimierz Nykiel, Adam Zalasiński, 2014 rok):

Pojęcie “małej” i “dużej” klauzuli informacyjnej występuje nie tylko w języku polskim. W języku angielskim są to odpowiednio “minor” oraz “major information clause”. Przykład:

“The Swiss Twist: The Exchang eof-Information Provisions of the Canada-Switzerland Protocol” by Gilles Larin and Alexandra Diebel, Canadian Tax Journal / Revue Fiscale Canadienne (2012) 60:1, 1 – 54

Jak widać na przykładach, klauzula informacyjna to postanowienie umowne dotyczące wymiany informacji (głównie w sprawach podatkowych) pomiędzy państwami.

Sprawdziłem, czy ktokolwiek w języku angielskim stosuje “information clause” wobec GDPR (czyli RODO). Owszem, są takie pojedyncze przypadki – dotyczą anglojęzycznych tłumaczeń polskich informacji administratora. 🙂 Nie znalazłem ani jednego przypadku, który by temu przeczył.

Czyli że to my w Polsce sobie wymyśliliśmy tę klauzulę informacyjną w RODO i jeszcze eksportujemy ten pomysł na zewnątrz. 🙂

Czy mamy szansę poprawić nasze słownictwo? Może to nie być łatwe – o ile w ogóle byśmy tego chcieli. “Klauzula informacyjna” przyjęła się powszechnie, wydaje się być jednoznacznie rozpoznawana, brzmieniem swoim budzi stosowne przerażenie i powagę oraz ma kiepską konkurencję (np. niektórzy używają również niezbyt udanego terminu “obowiązek informacyjny”, rzadko trafia się brzmiąca ogólnie “informacja administratora”). Dodatkowo jej użycie wspiera Urząd Ochrony Danych Osobowych w swoich publikacjach:

Kończąc, może warto, abym wspomniał ciekawostkę historyczną, że poprzednik Urzędu, GIODO, też posługiwał się tym terminem i to długo zanim to było modne, bo już w 2007 roku w publikacji “ABC wybranych zagadnień z ustawy o ochronie danych osobowych“. I co ciekawe, w tekście tym występują nie tylko “klauzule informacyjne” (wówczas odnoszące się do art. 24 i art. 25 UODO ’97) ale też “klauzule zgody”.

Sztuczna inteligencja generująca zakazane treści na przynętę

Pełnomocnik rządu Niemiec ds. wykorzystywania seksualnego dzieci wymyślił zdawałoby się całkiem błyskotliwy i nowoczesny sposób na łapanie pedofili: z użyciem technik komputerowych generujmy fałszywą pornografię dziecięcą i używajmy jako przynęty. Możemy już przecież generować ludzkie twarze czy odtwarzać w filmach cyfrowo postacie nieżyjących aktorów a w przeszłości, gdy czatowanie było modne, służby mundurowe różnych krajów odnosiły sukcesy w łapaniu pedofilów używając chat-botów podających się za dzieci. Co więc stoi na przeszkodzie teraz?

Jeżeli chodzi o “generowanie” to jest to domena sztucznych inteligencji. A jeśli mamy skłonić sztuczną inteligencję do generowania czegokolwiek, to musimy ją najpierw wyszkolić, bo S.I. się uczą na przykładach, które trzeba im dostarczyć. W związku z tym trzeba by najpierw zgromadzić gdzieś np. 100 tysięcy (albo może milion? dwa miliony?) zdjęć pornograficznych w bardzo wysokiej jakości. No i teraz pytanie: na ile byłoby to etyczne, aby używać istniejące, prawdziwe zdjęcia ofiar pedofilów do wyprodukowania takiej sztucznej inteligencji? Czy potrzebna byłaby zgoda tysięcy ofiar? A czy jest możliwe, aby jakoś inaczej takie treści pozyskać? Aktorzy, modele, może jakie inne techniki komputerowe? Na ile etyczne byłoby produkowanie takich treści nawet jeżeli będą udawane?

Inna sprawa, że gdyby udało się stworzyć taką “generującą” sztuczną inteligencję, to jednocześnie miałaby ona możliwość wykrywania podobnych zdjęć – czyli uzyskalibyśmy “wykrywacz pornografii”. Zapewne dopomogło by to znacząco dużym serwisom internetowym – szczególnie tym społecznościowym – bo na chwilę obecną muszą oni zatrudniać ludzi do obsługi zgłoszeń o tym, że ktoś wrzucił do Internetu zakazaną treść. Owi ludzie są częściowo wspierani przez komputerowe mechanizmy, ale z braku “uniwersalnego wykrywacza” muszą wciąż dokonywać ostatecznego przeglądu. Podobno bardzo wyniszcza to psychicznie. A ktoś to musi robić….

Kolejna sprawa: z obserwacji różnych nurtów politycznych i kulturowych wiemy, że nie każdy jest pedofilii przeciwny. Czasami pewne postulaty wystawia radykalna lewica, a czasami może też je wystawić prawica – np. wtedy, gdy akurat pedofilia jest w zgodzie z tysiącletnimi naukami religii czy kultury danego społeczeństwa. Można zadać frapujące pytanie: czy w drodze swoistego kompromisu cywilizacyjnego i globalizacji nie nadejdą czasy, gdy taka sztuczna inteligencja aktualnie stałaby się bytem komercyjnym, który produkowałby “legalną dziecięcą pornografię”. Może byłaby przepisywana na receptę dla zatwardziałych, niereformowalnych pedofilów? A co by było, gdyby jakieś państwo wręcz obłożyło ją akcyzą i jeszcze czerpało z tego zyski?

Określeni prawem administratorzy danych osobowych

Po wejściu w życie RODO jakoś wzmógł się problem istniejący już dużo wcześniej a dotyczący tego, kto jest administratorem danych osobowych w sektorze publicznym. Odsyłam do dwóch ciekawych artykułów poruszających ten temat, każdy z trochę innej strony:

Tutaj natomiat chciałbym podzieilć się moimi notatkami z przeglądu rozmaitych aktów prawnych, które często jednak wskazują ADO. Niektóre obszary sektora publiczngo mają to całkiem dobrze poukładane. Niestety, nie dotyczy to gmin, powiatów, województw poza wyjątkami którymi są:

  • wskazanie wójta na ADO w przypadku Karty Dużej Rodziny,
  • wskazanie starosty jako ADO dla oświadczeń dotyczących nieodpłatnej pomocy prawnej,
  • wskazanie wojewody jako ADO dla rejestru uznania za repatrianta oraz rejestru udzielania pomocy repatriantom.

Moje notatki są trochę chaotyczne, czasami zawierają więcej, czasami mniej. W niektórych przypadkach zawierają uzasadnienie dlaczego ktoś lub coś nazwane “administratorem danych” jest “administratorem danych osobowych” a w innych nie. Zalecam je traktować jako pewną wskazówkę i ewentualnie sprawdzać, czy wszystko się zgadza.

Sądy i trybunały

Ustawa z dnia 21 sierpnia 1997 r. – Prawo o ustroju sądów wojskowych:

Sądy wojskowe są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych :

Administratorami danych osobowych:
1) sędziów i sędziów w stanie spoczynku oraz asesorów sądowych,
2) referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,
3) biegłych sądowych, lekarzy sądowych, mediatorów oraz ławników,
4) kandydatów na stanowiska wymienione w pkt 1 i 2
prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości, w zakresie realizowanych zadań.

Administratorami danych osobowych przetwarzanych w systemach teleinformatycznych obsługujących postępowania sądowe, w systemach teleinformatycznych, w których są prowadzone rejestry sądowe, oraz w systemach teleinformatycznych, w których są prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne), są sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.

Administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.

System teleinformatyczny prowadzi Minister Sprawiedliwości. Administratorami danych osobowych w systemie teleinformatycznym są: Minister Sprawiedliwości, prezesi właściwych sądów oraz Krajowa Rada Sądownictwa, każde w zakresie zadań wykonywanych w postępowaniu w sprawie powołania do pełnienia urzędu na stanowisku sędziowskim.

Art. 57 par. 4

Ustawa z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych:

Sądy administracyjne są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 8 grudnia 2017 r. o Sądzie Najwyższym:

Sąd Najwyższy jest administratorem danych osobowych przetwarzanych w postępowaniach sądowych.

Ustawa z dnia 26 marca 1982 r. o Trybunale Stanu:

Trybunał Stanu jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.

Ustawa z dnia 30 listopada 2016 r. o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym:

Trybunał jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.

Jak widać, brakuje wyżej czegokolwiek o Krajowym Rejestrze Sądowym.

Policja, straże itp.

Ustawa z dnia 6 kwietnia 1990 r. o Policji:

Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, komendanci powiatowi (miejscy i rejonowi) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich w celu realizacji zadań ustawowych.

Komendant Główny Policji prowadzi następujące zbiory danych daktyloskopijnych, których jest administratorem w rozumieniu przepisów o ochronie danych osobowych

Art. 20g. 1. W związku z obsługą zadań, o których mowa w art. 20e ust. 1 pkt 1, Komendant Główny Policji przetwarza w SWD Policji informacje, w tym dane osobowe osób, których dane uzyskano w związku z realizacją zadań, o których mowa w art. 1 ust. 2 i 3, i w tym zakresie jest administratorem w rozumieniu przepisów o ochronie danych osobowych.

Art. 21a. 1. Komendant Główny Policji prowadzi zbiór danych zawierający informacje o wynikach analizy kwasu deoksyrybonukleinowego (DNA), zwany dalej „zbiorem danych DNA”, którego jest administratorem w rozumieniu ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

W odniesieniu do informacji, w tym danych osobowych, przetwarzanych w KSIP Komendant Główny Policji jest administratorem w rozumieniu przepisów o ochronie danych osobowych

1. Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Policji, przenoszenia do służby w Policji oraz w zakresie wynikającym z przebiegu stosunku służbowego policjantów, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
(…)
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych

Ustawa z dnia 6 lipca 2001 r. o gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych:

Komendant Główny Policji jest administratorem danych osobowych, przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

Ustawa z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych:

Art. 5. 1. Komendant Główny Policji prowadzi ogólnopolski system zgłaszania podejrzanych transakcji lub prób dokonania takich transakcji, zniknięć i kradzieży znacznych ilości substancji wymienionych w załącznikach I i II do rozporządzenia (UE) nr 98/2013 lub w aktach delegowanych wydanych na podstawie art. 12 tego rozporządzenia oraz mieszanin lub substancji zawierających te substancje, zwany dalej „systemem zgłaszania”.

3. Administratorem danych i informacji zgromadzonych w systemie zgłaszania jest Komendant Główny Policji.

Art. 6. 1. W systemie zgłaszania gromadzi się: 1) dane o zgłaszającym: a) imię i nazwisko, b) nazwę i adres wykonywania działalności lub siedziby, c) inne niż w lit. b dane teleadresowe, jeżeli zostały podane;

Ustawa z dnia 12 października 1990 r. o Straży Granicznej:

Komendant Główny Straży Granicznej jest administratorem danych osobowych przetwarzanych przez Straż Graniczną w celu realizacji ustawowych zadań.

1. Straż Graniczna przetwarza dane osobowe w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Straży Granicznej, przenoszenia do służby w Straży Granicznej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Straży Granicznej, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
(…)
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Straży Granicznej, Komendant BSWSG, komendant oddziału Straży Granicznej, komendant ośrodka szkolenia Straży Granicznej lub komendant ośrodka Straży Granicznej.”;

Ustawa z dnia 8 grudnia 2017 r. o Służbie Ochrony Państwa:

Administratorem danych osobowych przetwarzanych przez SOP jest Komendant SOP

Ustawa z dnia 26 stycznia 2018 r. o Straży Marszałkowskiej:

Administratorem danych osobowych, o których mowa w ust. 2 pkt 2, jest Komendant Straży Marszałkowskiej.

Ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), przez straż jest komendant straży.

Ustawa z dnia 28 marca 2003 r. o transporcie kolejowym:

Administratorem danych osobowych przetwarzanych przez straż ochrony kolei jest komendant straży ochrony kolei.

Ustawa z dnia 18 kwietnia 1985 r. o rybactwie śródlądowym:

Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest komendant wojewódzki Państwowej Straży Rybackiej.

Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości jest komendant właściwej jednostki Społecznej Straży Rybackiej.

Ustawa z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest dyrektor urzędu morskiego.

Ustawa z dnia 21 grudnia 2000 r. o żegludze śródlądowej:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest dyrektor urzędu żeglugi śródlądowej.

Ustawa z dnia 20 lipca 2017 r. – Prawo wodne:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw gospodarki wodnej lub organ wykonujący kontrolę

Ustawa z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska, Główny Inspektor Ochrony Środowiska lub wojewódzki inspektor ochrony środowiska

Ustawa z dnia 28 września 1991 r. o lasach:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska lub Główny Inspektor Straży Leśnej.

Ustawa z dnia 13 października 1995 r. – Prawo łowieckie:

Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. poz. …), jest minister właściwy do spraw środowiska lub komendant wojewódzki Państwowej Straży Łowieckiej

Ustawa z dnia 6 września 2001 r. o transporcie drogowym:

3. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy są administratorami danych osobowych przetwarzanych na podstawie ust. 1.

Administratorem danych osobowych przetwarzanych w związku z realizacją czynności określonych w art. 56 ust. 1, w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, jest Główny Inspektor Transportu Drogowego lub wojewódzki inspektor transportu drogowego

Ustawa z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych:

Komendant Główny Żandarmerii Wojskowej, komendanci terenowych jednostek organizacyjnych oraz komendanci specjalistycznych jednostek organizacyjnych Żandarmerii Wojskowej są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich i w celu realizacji zadań ustawowych.

Medyczne

Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia:

(Niestety, w słowniku wciąż odwołanie do UODO 1997)

administrator danych – administratora danych, o którym mowa w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

W ustawie jest mnóstwo precyzyjnego wskazywania ADO:

Administratorem danych przetwarzanych w SIM jest minister właściwy do spraw zdrowia.

Administratorem danych gromadzonych w Centralnym Wykazie Usługobiorców jest minister właściwy do spraw zdrowia

Administratorem danych gromadzonych w Centralnym Wykazie Usługodawców jest minister właściwy do spraw zdrowia

Administratorem danych gromadzonych w Centralnym Wykazie Pracowników Medycznych jest minister właściwy do spraw zdrowia

1. Minister właściwy do spraw zdrowia w celu:
1) monitorowania zapotrzebowania na świadczenia opieki zdrowotnej,
2) monitorowania stanu zdrowia usługobiorców,
3) prowadzenia profilaktyki zdrowotnej lub realizacji programów zdrowotnych albo programów polityki zdrowotnej,
4) monitorowania i oceny bezpieczeństwa, skuteczności, jakości i efektywności kosztowej badań diagnostycznych lub procedur medycznych
– może tworzyć i prowadzić albo tworzyć i zlecać prowadzenie rejestrów medycznych, stanowiących uporządkowany zbiór danych osobowych, w tym jednostkowych danych medycznych.

(…)
Administratorem danych gromadzonych w rejestrach medycznych, o których mowa w art. 19 ust. 1, jest podmiot prowadzący rejestr medyczny

Administratorem danych przetwarzanych w Systemie RUM – NFZ jest Narodowy Fundusz Zdrowia

Art. 22

1. System Statystyki w Ochronie Zdrowia jest systemem teleinformatycznym, w którym są przetwarzane dane statystyczne z zakresu ochrony zdrowia.

(…)

Administratorem danych przetwarzanych w systemie, o którym mowa w ust. 1, jest minister właściwy do spraw zdrowia

Art. 23

Administratorem danych gromadzonych w Systemie Ewidencji Zasobów Ochrony Zdrowia jest minister właściwy do spraw zdrowia

Art. 24

2. System Monitorowania Zagrożeń zawiera dane:
1) zawarte w zgłoszeniach, o których mowa w art. 21 ust. 2, art. 27 ust. 4 i art. 29 ust. 3 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi   (Dz. U. z 2016 r. poz. 18662003 i 2173);
2) o zachorowaniach na grypę i podejrzeniach zachorowań na grypę w postaci ustrukturyzowanej;
3) przetwarzane przez Prezesa Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych w związku z wykonywaniem zadań w zakresie zbierania raportów oraz informacji o niepożądanych działaniach produktu leczniczego, badanego produktu leczniczego, produktu leczniczego weterynaryjnego i badanego produktu leczniczego weterynaryjnego.

(…)
6. Administratorem danych określonych w ust. 2:
1) pkt 1 i 2 – są państwowi powiatowi inspektorzy sanitarni oraz państwowi graniczni inspektorzy sanitarni;
2) pkt 3 – jest Prezes Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych.

Art. 26

Administratorem danych przetwarzanych w Systemie Monitorowania Dostępności do Świadczeń Opieki Zdrowotnej jest minister właściwy do spraw zdrowia.

Art. 27

Administratorem danych przetwarzanych w Systemie Monitorowania Kosztów Leczenia jest minister właściwy do spraw zdrowia.

Art. 28

5. Administratorem danych przetwarzanych w Zintegrowanym Systemie Monitorowania Obrotu Produktami Leczniczymi jest Główny Inspektor Farmaceutyczny.
6. Administratorem danych w rejestrach obejmujących produkty lecznicze dopuszczone do obrotu na terytorium Rzeczypospolitej Polskiej jest Prezes Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych.

Art. 29

Administratorem danych przetwarzanych w Systemie Monitorowania Kształcenia Pracowników Medycznych jest minister właściwy do spraw zdrowia

Art. 30

Administratorem danych przetwarzanych w Systemie Obsługi List Refundacyjnych jest minister właściwy do spraw zdrowia.

Art. 30a

Administratorem danych przetwarzanych w systemie Instrumentu Oceny Wniosków Inwestycyjnych w Sektorze Zdrowia jest minister właściwy do spraw zdrowia

Art. 31a

Ustawa z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa:

14. Administratorem danych zawartych w Rejestrze Asystentów Medycznych jest minister właściwy do spraw zdrowia.

Art. 54a

Ustawa z dnia 6 września 2001 r. Prawo farmaceutyczne:

Art. 4d. 1. Minister właściwy do spraw zdrowia prowadzi rejestr zapotrzebowań realizowanych w ramach importu docelowego oraz rejestr wniosków o refundację w ramach importu docelowego.

5. Administratorem danych zawartych w rejestrach, o których mowa w ust. 1, jest minister właściwy do spraw zdrowia.

Art. 4e. 1. Minister właściwy do spraw zdrowia prowadzi rejestr produktów leczniczych dopuszczonych do obrotu nieposiadających pozwolenia.

4. Administratorem danych zawartych w rejestrze, o którym mowa w ust. 1, jest minister właściwy do spraw zdrowia.

Art. 83. 1. Główny Inspektor Farmaceutyczny prowadzi Rejestr Zezwoleń na Prowadzenie Hurtowni Farmaceutycznej dotyczący produktów leczniczych.

1a. Główny Lekarz Weterynarii w odniesieniu do hurtowni produktów leczniczych weterynaryjnych prowadzi Rejestr Zezwoleń na Prowadzenie Hurtowni Produktów Leczniczych Weterynaryjnych.

4a. Administratorem danych przetwarzanych w rejestrze, o którym mowa w ust. 1, jest Główny Inspektor Farmaceutyczny .

4c. Administratorem danych przetwarzanych w rejestrze, o którym mowa w ust. 1a, jest Główny Lekarz Weterynarii.

Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych:

Art. 47e. 1. Zgoda, o której mowa w art. 47d ust. 1 lub 2, jest wydawana na wniosek świadczeniodawcy posiadającego w dniu złożenia wniosku, zawartą umowę o udzielanie świadczeń opieki zdrowotnej w zakresie, o którym mowa w art. 15 ust. 2 pkt 3 (…)

Art. 47h. 1. Minister właściwy do spraw zdrowia prowadzi ewidencję wniosków, o których mowa w art. 47e, oraz ewidencję decyzji administracyjnych w sprawie wydania zgód, o których mowa w art. 47d ust. 1 i 2, zwaną dalej „ewidencją”.

3. Administratorem danych zawartych w ewidencji jest minister właściwy do spraw zdrowia.

Ustawa z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów:

Art. 19a. 1. Administratorem danych przetwarzanych w rejestrach, o których mowa w art. 7, art. 15, art. 16 i art. 18, oraz liście, o której mowa w art. 17, jest Centrum Organizacyjno-Koordynacyjne do Spraw Transplantacji „Poltransplant”.

Ustawa z dnia 25 czerwca 2015 r. o leczeniu niepłodności:

Art. 37. 1. W celu identyfikacji dawców i biorczyń komórek rozrodczych przekazanych w celu dawstwa innego niż partnerskie oraz dawców i biorczyń zarodków oraz w celu monitorowania procesu medycznie wspomaganej prokreacji tworzy się rejestr dawców komórek rozrodczych i zarodków, zwany dalej „rejestrem”.

7. Administratorem danych gromadzonych w rejestrze jest minister właściwy do spraw zdrowia

Pozostałe podmioty

Ustawa z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny:

Administratorami danych osobowych przetwarzanych w zakresie niezbędnym do realizacji zadań wynikających z niniejszej ustawy są wójt oraz minister właściwy do spraw rodziny.

Art 21. ust. 2

Ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej pomocy prawnej oraz edukacji prawnej:

Art. 4. 1. Nieodpłatna pomoc prawna i nieodpłatne poradnictwo obywatelskie przysługują osobie uprawnionej, która nie jest w stanie ponieść kosztów odpłatnej pomocy prawnej.

2. Osoba uprawniona, przed uzyskaniem nieodpłatnej pomocy prawnej lub nieodpłatnego poradnictwa obywatelskiego, składa pisemne oświadczenie, że nie jest w stanie ponieść kosztów odpłatnej pomocy prawnej. Oświadczenie składa się osobie udzielającej nieodpłatnej pomocy prawnej lub świadczącej nieodpłatne poradnictwo obywatelskie.

4. Administratorem danych osobowych zawartych w oświadczeniu, o którym mowa w ust. 2, jest starosta.

Art. 17. 1. Minister Sprawiedliwości może powołać Radę Nieodpłatnej Pomocy Prawnej, Nieodpłatnego Poradnictwa Obywatelskiego oraz Edukacji Prawnej, zwaną dalej „Radą”.

Art 18. 4. Minister Sprawiedliwości jest administratorem danych osobowych osób rekomendowanych oraz osób wchodzących w skład Rady.

Ustawa z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych:

2a.  Niezależnie od systemów, o których mowa w ust. 2, tworzy się:

1) centralny system identyfikacji uczestników meczów piłki nożnej rozgrywanych w ramach najwyższej ligowej klasy rozgrywkowej rywalizacji mężczyzn;
2) centralny system identyfikacji uczestników meczów piłki nożnej rozgrywanych w drugiej i trzeciej najwyższej ligowej klasie rozgrywkowej rywalizacji mężczyzn.
2b. Administratorami danych osobowych przetwarzanych w systemach, o których mowa w ust. 2a, są właściwe podmioty zarządzające tymi rozgrywkami.

Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym:

Administratorem danych osobowych przetwarzanych poprzez Krajowy System Informatyczny (KSI) jest Centralny organ techniczny KSI.”;

Ustawa z dnia 9 kwietnia 2010 r. o Służbie Więziennej:

Art. 25b. 1. Dyrektor Generalny:
1)     prowadzi w systemie teleinformatycznym Centralną Bazę;
2)     jest administratorem informacji, w tym danych osobowych, przetwarzanych w Centralnej Bazie;

Ustawa z dnia 28 stycznia 2016 r. – Prawo o prokuraturze:

§ 5.Prokuratura Krajowa jest administratorem danych przetwarzanych w ogólnokrajowych systemach teleinformatycznych powszechnych jednostek organizacyjnych prokuratury.
§ 6.Powszechne jednostki organizacyjne prokuratury są administratorami danych przetwarzanych w ramach realizowanych zadań, z wyłączeniem danych, o których mowa w § 5.

Art. 13

Ustawa z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera:

Komendant Główny Straży Granicznej jest administratorem danych PNR przetwarzanych w KSI PNR

Art. 13 ust. 2

Ustawa z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym:

Art. 80a. 1. Tworzy się centralną ewidencję pojazdów, zwaną dalej „ewidencją”.

4. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 80a

1. Tworzy się centralną ewidencję kierowców, zwaną dalej “ewidencją”.
2. (uchylony).
3. (uchylony).
4. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 100a

1. Tworzy się centralną ewidencję posiadaczy kart parkingowych, o których mowa w art. 8 karta parkingowa osoby niepełnosprawnej, zwaną dalej „ewidencją”.
2. Ewidencję prowadzi minister właściwy do spraw informatyzacji w systemie teleinformatycznym. W rozumieniu niniejszej ustawy minister ten jest administratorem danych i informacji zgromadzonych w ewidencji.

Art. 100f

Ustawa z dnia 17 lutego 2005 r.o informatyzacji działalności podmiotów realizujących zadania publiczne:

Art. 20aa
Minister właściwy do spraw informatyzacji odpowiada za funkcjonowanie systemu teleinformatycznego, który:
1) 38  zapewnia obsługę publicznego systemu identyfikacji elektronicznej, w którym wydawany jest:a) profil zaufany,
b) profil osobisty;
2) umożliwia podmiotom publicznym:a) uwierzytelnienie osoby fizycznej przy użyciu środka identyfikacji elektronicznej, o którym mowa w pkt 1,
b) zapewnienie osobie fizycznej możliwości opatrzenia dokumentu elektronicznego podpisem zaufanym.

Art. 20ac

1.  Minister właściwy do spraw informatyzacji jest administratorem danych przetwarzanych w systemie, o którym mowa w art. 20aa.

Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu:

Art. 55. Centralny Rejestr Beneficjentów Rzeczywistych, zwany dalej „Rejestrem”, jest systemem teleinformatycznym służącym przetwarzaniu informacji o beneficjentach rzeczywistych spółek wymienionych w art. 58.
Art. 56. Organem właściwym w sprawach Rejestru jest minister właściwy do spraw finansów publicznych.
Art. 57. 1. Organ właściwy w sprawach Rejestru jest administratorem danych zgromadzonych w Rejestrze.

Ustawa z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników:

Szef Krajowej Administracji Skarbowej prowadzi w systemie teleinformatycznym CRP KEP i jest administratorem danych w nim zawartych.

Art. 14. ust. 1

Ustawa z dnia 9 listopada 2000 r. o repatriacji:

Art. 36. Administratorem danych osobowych przetwarzanych w:

1) ewidencji, o której mowa w art. 20m ust. 1, jest kierownik ośrodka;

2) ewidencjach, o których mowa w art. 28a ust. 5, art. 29 ust. 1 i art. 30 ust. 1, jest Pełnomocnik;

3) rejestrze, o którym mowa w art. 33 ust. 1, jest minister właściwy do spraw wewnętrznych i właściwy konsul;

4) rejestrze, o którym mowa w art. 33 ust. 2, jest minister właściwy do spraw wewnętrznych i właściwy wojewoda;

5) rejestrze, o którym mowa w art. 33 ust. 3, jest minister właściwy do spraw wewnętrznych, Pełnomocnik, właściwy wojewoda i właściwy konsul;

6) rejestrze, o którym mowa w art. 34 ust. 1, jest minister właściwy do spraw wewnętrznych.

Ustawa z dnia 4 października 2018 r. o produktach kosmetycznych:

Art. 8. 1. Tworzy się System Informowania o Ciężkich Działaniach Niepożądanych Spowodowanych Stosowaniem Produktów Kosmetycznych, zwany dalej „systemem”.
(…)
3. Główny Inspektor Sanitarny jest administratorem danych osobowych i administratorem systemu.

Art. 11. 1. W przypadku zgłoszenia działania niepożądanego przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora, osoba odpowiedzialna lub dystrybutor przetwarza dane osobowe, o których mowa w art. 9 ust. 2 pkt 2–4, i jest ich administratorem.

Ustawa z dnia 7 lipca 2017 r. o Narodowej Agencji Wymiany Akademickiej:

4. Dyrektor jest administratorem danych przetwarzanych w systemie teleinformatycznym Agencji

Ustawa z dnia 21 czerwca 1996 r. o szczególnych formach sprawowania nadzoru przez ministra właściwego do spraw wewnętrznych:

7. Administratorem danych osobowych przetwarzanych przez Biuro jest Inspektor Nadzoru Wewnętrznego.

Ustawa z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych:

2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze oraz danych objętych treścią obwieszczeń.

Ustawa z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji:

§ 1. Rejestr Należności Publicznoprawnych, zwany dalej „rejestrem”, jest prowadzony w systemie teleinformatycznym przez Szefa Krajowej Administracji Skarbowej.

§ 2. Minister właściwy do spraw finansów publicznych może wyznaczyć, w drodze rozporządzenia, inny organ Krajowej Administracji Skarbowej do prowadzenia rejestru, mając na względzie konieczność zapewnienia sprawnego funkcjonowania tego rejestru oraz sprawność procesów wymiany informacji.

§ 3. Administratorem danych zgromadzonych w rejestrze jest organ prowadzący rejestr

Art. 13a

Ustawa z dnia 13 lipca 2006 r. o dokumentach paszportowych:

Art. 46. 1. Tworzy się centralną ewidencję wydanych i unieważnionych dokumentów paszportowych, zwaną dalej „centralną ewidencją”. 2. Centralna ewidencja jest prowadzona przez ministra właściwego do spraw informatyzacji, który jest administratorem danych zgromadzonych w tej ewidencji.

Art. 47. 1. Organy paszportowe prowadzą, w zakresie swoich uprawnień, ewidencje wydanych i unieważnionych dokumentów paszportowych, zwane dalej „ewidencjami paszportowymi”. 2. Organy paszportowe są administratorami danych zgromadzonych w ewidencjach paszportowych.

Ustawa z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów:

Art. 4. 1. Środki techniczne służące monitorowaniu przewozu towarów obejmują: 1) rejestr zgłoszeń wraz z modułem gromadzącym i przetwarzającym dane geolokalizacyjne, zwany dalej „rejestrem”;

3. Rejestr prowadzi Szef Krajowej Administracji Skarbowej, który jest administratorem danych przetwarzanych w rejestrze.

Do dyskusji jest, czy rejestr zawiera dane osobowe. Zawiera dane zgłoszeń i dane geolokalizacyjne. Zgłoszenia zawierają imiona, nazwiska, adresy nadań i odbiorów itp.

Ustawa z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych:

Art. 6d. 1. Tworzy się Elektroniczny Krajowy System Monitoringu Orzekania o Niepełnosprawności, zwany dalej „systemem”, w którym przetwarza się dane w celu usprawnienia i podniesienia jakości orzekania o niepełnosprawności oraz realizacji zadań przez zespoły orzekające o niepełnosprawności. 1a. Nadzór nad funkcjonowaniem systemu sprawuje Pełnomocnik

2. Powiatowe zespoły i wojewódzkie zespoły oraz Pełnomocnik są administratorami danych w prowadzonych przez siebie bazach danych systemu.

Ustawa z dnia 15 maja 2015 r. o substancjach zubożających warstwę ozonową oraz o niektórych fluorowanych gazach cieplarnianych:

Art. 7. 1. Tworzy się rejestr przedsiębiorstw i operatorów, którym udzielono autoryzacji na przechowywanie halonów do zastosowań krytycznych, przedsiębiorstw produkujących, stosujących lub wprowadzających na terytorium Rzeczypospolitej Polskiej nowe substancje oraz przedsiębiorstw stosujących substancje kontrolowane w charakterze substratów oraz przedsiębiorstw prowadzących niszczenie substancji kontrolowanych. 2. Rejestr prowadzi minister właściwy do spraw środowiska w postaci elektronicznej przy użyciu systemów teleinformatycznych, w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570 oraz z 2018 r. poz. 1000, 1544 i 1669). Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw środowiska.

3. Karta Urządzenia oraz Karta Systemu Ochrony Przeciwpożarowej zawierają w szczególności: 1) dane urządzenia; 2) nazwę operatora, jego adres i siedzibę oraz numer identyfikacji podatkowej, o ile został nadany, a w przypadku operatora będącego osobą fizyczną prowadzącą działalność gospodarczą − adres wykonywania działalności, a także imię i nazwisko, numer telefonu i adres poczty elektronicznej wszystkich osób kontaktowych wyznaczonych przez operatora, którym został przez niego nadany dostęp do karty, imię i nazwisko osoby, która założyła kartę, i każdej osoby, która dokonała wpisu do karty, datę sporządzenia karty oraz datę dokonania każdego kolejnego wpisu do karty;

6. Administratorem danych zawartych w Centralnym Rejestrze Operatorów jest wyspecjalizowana jednostka.

Ustawa z dnia 5 lipca 2018 r. o tachografach:

Art. 27. 1. Prezes GUM prowadzi ewidencję podmiotów posiadających zezwolenie. 2. Prezes GUM jest administratorem danych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem (UE) 2016/679”, zawartych w ewidencji. W ewidencji gromadzi się następujące dane i informacje: 1) firmę lub imię i nazwisko podmiotu posiadającego zezwolenie oraz jego adres; 2) zakres zezwolenia; 3) miejsca świadczenia usług; 4) dotyczące technika warsztatu: a) imię i nazwisko, b) numer PESEL, a w przypadku osoby nieposiadającej numeru PESEL – numer i nazwę dokumentu potwierdzającego tożsamość oraz nazwę organu, który wydał ten dokument,

Ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa:

14) portalu podatkowym – rozumie się przez to system teleinformatyczny administracji skarbowej służący do kontaktu organów podatkowych z podatnikami, płatnikami i inkasentami, a także ich następcami prawnymi oraz osobami trzecimi, w szczególności do wnoszenia podań, składania deklaracji oraz doręczania pism organów podatkowych za pomocą środków komunikacji elektronicznej;

§ 4. Minister właściwy do spraw finansów publicznych zapewnia funkcjonowanie portalu podatkowego i jest administratorem danych podatników, płatników, inkasentów, ich następców prawnych oraz osób trzecich korzystających z tego portalu.

Odwołujące się do UODO 1997

Ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, niestety odwołuje sie do UODO 1997:

Art. 11. 1. Minister właściwy do spraw administracji publicznej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) przetwarzanych w systemie.

Ustawa z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym:

Art. 4. 1. Tworzy się Rejestr Sprawców Przestępstw na Tle Seksualnym, zwany dalej „Rejestrem”

2. Minister Sprawiedliwości jest administratorem danych osobowych zgromadzonych w Rejestrze w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).

Ustawa z dnia 2 kwietnia 2009 r. o obywatelstwie polskim:

Art. 59. 1. Minister właściwy do spraw wewnętrznych tworzy i prowadzi w systemie teleinformatycznym centralny rejestr danych o nabyciu i utracie obywatelstwa polskiego, zwany dalej „rejestrem centralnym”. 2. Minister właściwy do spraw wewnętrznych jest administratorem danych przetwarzanych w rejestrze centralnym w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2)

Ustawa z dnia 22 sierpnia 1997 r. o publicznej służbie krwi:

Art. 17. 1. Tworzy się system e-krew.

3. Administratorem danych, w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), gromadzonych w systemie e-krew jest minister właściwy do spraw zdrowia.

Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym:

Art. 1. 1. Tworzy się Krajowy Rejestr Karny, zwany dalej „Rejestrem”.

2. Minister Sprawiedliwości jest administratorem danych osobowych zgromadzonych w Rejestrze w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia ©Kancelaria Sejmu s. 5/28 19.02.2019 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2) , zwanej dalej „ustawą o ochronie danych osobowych”.

Ustawa z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej:

Art. 14g. 1. System Wspomagania Decyzji Państwowej Straży Pożarnej, zwany dalej „SWD PSP”, stanowi system teleinformatyczny wspierający wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez wszystkie jednostki organizacyjne Państwowej Straży Pożarnej, jak również przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego

Art. 14h. 1. Państwowa Straż Pożarna może przetwarzać dane, uzyskane w związku z obsługą zgłoszenia alarmowego, o której mowa w art. 2 pkt 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, w tym dane osoby zgłaszającej i innych osób, których zgłoszenie dotyczy. 2. Komendant Główny Państwowej Straży Pożarnej jest administratorem danych, przetwarzanych w SWD PSP, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138).

Ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym:

Art. 24a. 1. Minister właściwy do spraw zdrowia: 1) nadzoruje System Wspomagania Dowodzenia Państwowego Ratownictwa Medycznego, zwany dalej „SWD PRM”;

2. Minister właściwy do spraw zdrowia, wojewodowie i dysponenci zespołów ratownictwa medycznego przetwarzają dane zarejestrowane w SWD PRM, w tym nagrania rozmów telefonicznych, dane osobowe osoby zgłaszającej, dane innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycje geograficzne, dane teleadresowe lub opis zdarzenia, i udostępniają je na wniosek sądu, prokuratury, Policji, Rzecznika Praw Pacjenta lub Narodowego Funduszu Zdrowia.

Art. 24c. 1. Minister właściwy do spraw zdrowia jest administratorem danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.

Ustawa z z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020:

Art. 69. 1. Tworzy się centralny system teleinformatyczny wspierający realizację programów operacyjnych.

Art. 71. 1. Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723)2)

Dziecko bez numeru PESEL

Zaskakuje mnie czasami to jak biurokracja potrafi namącić w zdawałoby się nie takim trudnym temacie.

Nie ma numeru, nie ma człowieka

Pewnemu małżeństwu spodziewającemu się dziecka przydarzył się nagły poród w domu. Poród przebiegł dobrze, na świecie pojawiło się dziecko. Rodzice zadzwonili po pogotowie, aby ktoś przyjechał i potwierdził, że wszystko OK, ale ze strony pogotowia uznano, że na pewno jest OK i nie przyjadą, bo po co. Później rodzice poszli do szpitala, aby ktoś im wypisał kartę urodzenia dziecka i dowiedzieli się, że szpital nie może jej wypisać, bo ani lekarz ani położna nie byli obecni przy narodzinach. No i tak zaczął się problem. Bez dokumentu ze szpitala nie można nadać dziecku numeru PESEL a bez tego niewiele można zrobić czy to dla dziecka, czy to dla rodziców. Rodzice zaczęli pukać do wszystkich drzwi: od lekarza rodzinnego przez NFZ, Rzecznika Praw Dziecka aż po Ministerstwo Zdrowia. Po wielu staraniach i po analizie dokumentacji z przebiegu ciąży szpital w końcu wypisał dokument, ale… błędnie. W związku z tym Urząd Stanu Cywilnego odmówił wydania aktu urodzenia. Szpital odmówił wprowadzenia poprawek zasłaniając się przepisami postępowania administracyjnego. No i teraz się przepychają Szpital z USC o to kto ma co zrobić. Dziecko ma już 3 miesiące a formalnie się nie urodziło, nie ma imienia, nie ma nazwiska. Matka nie ma urlopu macierzyńskiego.

https://kobieta.onet.pl/wiadomosci/rodzice-nie-moga-zarejestrowac-narodzin-syna-w-usc-wszystko-przez-to-ze-przyszedl-na/08rbs5k

Okna życia

Może to zastanawiać jak w takim razie funkcjonują np. okna życia, w których dziecko może być zostawione przez rodziców z różnych powodoów niechętnych do jego wychowania. Wtedy dotychczasowa tożsamość dziecka zostaje pominięta, czyli jeżeli rodzic zostawił w oknie życia karteczkę z imieniem, to karteczka idzie do kosza a nowe imię i nazwisko wybiera sąd rodzinny, lekarze lub urzędnicy USC (nie jest to ściśle unormowane prawnie). Datę urodzenia oszacowują lekarze tak jak im sie wydaje. Na tej podstawie tworzony jest akt urodzenia i nadawany jest PESEL. Formalności mogą trwać kilka tygodni. Zanim PESEL zostanie nadany, dziecko nie jest objęte ubezpieczeniem zdrowotnym, ewentualna hospitalizacja jest na koszt szpitala a zabiegi nie będące związane z ratowaniem życia mogą wymagać zgody sądu.

Prezenterka telewizyjna wytwarzana przez komputer

W Chinach w telewizji zobaczyć można prezenterkę wytwarzaną przez sztuczną inteligencję. W linkowanym artykule jest wideo, można sobie ją zobaczyć. Zwracam uwagę, że podobnie jak w przypadku generowanych przez SI twarzy ludzkich, o których ostatnio na FB pisałem, tak i tutaj widać problemy z zębami, które nienaturalnie się wysuwają i chowają podczas mowy. Takie i inne rozmaite szczególiki zawsze będą gdzieś istnieć i dzięki nim w przyszłości powstaną sztuczne inteligencje rozróżniające prawdziwych ludzi od sztucznych.

A tak poza tym, to:

Ludzie z telewizji Xinhua pochwalili się, że od kilku miesięcy prezenterzy w sumie prowadzili już 3400 wydań wiadomości i spędzili przed widzami aż 10 tysięcy godzin.

Przypomina mi się zaskakujący zwrot fabularny w jednej ze starszych gier komputerowych, której akcja dzieje się w skomputeryzowanej przyszłości. Główny bohater próbuje rozwikłać zagadkę złowrogiej przestępczej konspiracji o globalnym zasięgu i w pewnym momencie trop zdaje się prowadzić go do kanadyjskiej prezenterki wiadomości. Nie jest to wówczas w ogóle jasne jaką rolę zwykła niegroźna prezenterka mogłaby pełnić wśród przestępczych bossów, terrorystów i innych takich. W pewnym momencie okazuje się jednak, że jest ona potężną sztuczną inteligencją, która została zaprojektowana aby monitorować i kształtować przepływ publicznej informacji i tym samym manipulować społeczeństwem a jej istnienie jest jednym z filarów rozwijającej się technologicznej władzy elit nad resztą populacji. Doskonale narzędzie propagandy. Z uśmiechem, bez mrugnięcia okiem, bez zająknięcia przeinaczy każdą prawdę tak jak zechcą tego mocodawcy.

Dla kompletności: coraz więcej zachodnich serwisów medialnych korzysta ze sztucznych inteligencji jako wsparcia przy pisaniu artykułów. “Bertie” wspomaga redakcję Forbesa, “Heliograf” redakcję Washington Post, “Cyborg” redakcję Bloomberga, “Lynx” redaktorów Agencji Reutera, “Radar” wspiera brytyjską The Press Association. Sztuczne inteligencje są używane także w Associated Press oraz The Guardian. Czym się zajmują? Na chwilę obecną pisanie newsów sportowych i lokalnych (czyli takich względnie nieszkodliwych, zazwyczaj krótkich i schematycznych), wyszukiwanie interesujących tematów dla ludzi-redaktorów, analiza statystyk, wykrywanie interesujących anomalii. Podobno pozwala to prawdziwym redaktorom skupić się na ważniejszych sprawach.

Zawsze najnowszy Apache na CentOS 7

Domyślnie CentOS dostarcza starszą, ale uznaną za sprawdzoną, wersję Apache. Niestety, oznacza to, że taka wersja może nie mieć istotnych nowych możliwości jak np. obsługi HTTP 2. Można sobie z tym poradzić korzystając z repozytorium CodeIt, które dostarcza najnowsze wersje Apache, Nginx i powiązanych z nimi pakietów.

Czy adres IP stanowi dane osobowe?

Ten problem wraca co jakiś czas przy okazji internetowych rozmów. Istniał on w czasach poprzedniej Ustawy o ochronie danych osobowych i istnieje dzisiaj w czasach RODO. Skąd w ogóle bierze się to pytanie? W kontekście RODO można je zadać po lekturze definicji danych osobowych oraz Motywu 30:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Art. 4 pkt 1) RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Motyw 30 RODO

Zanim przedstawię cytaty z wyroku Trybunału Sprawiedliwości UE, które wiele wyjaśniają, przedstawię moją wypowiedź z jednej z internetowych dyskusji w której mniej prawniczym żargonem argumentowałem czemu adres IP w przytłaczającej większości wypadków nie stanowi danych osobowych:

[A]dres IP jest adresem urządzenia a nie użytkownika. Jeżeli jakiś użytkownik “przychodzi z pewnego adresu IP”, to ten adres IP może być adresem każdego z sieciowych urządzeń pośredniczących. W przypadku adresu IP widzianego z perspektywy Internetu niemalże na 100% będzie to adres jakiegoś routera obsługującego setki lub tysiące użytkowników. Dotarcie do konkretnego komputera wymaga nakazów sądowych wobec operatorów internetowych, który odczytują dalsze dane z tego routera podając kolejny adres IP, który być może prowadzi do czyjegoś urządzenia a być może… do kolejnego routera, i do kolejnego routera, i do kolejnego.

Praktycznym przykładem tego, że IP nie stanowi danych osobowych, jest to, że Policja czasami zawzięcie namierza różnego rodzaju złoczyńców (ostatnio modna jest “mowa nienawiści”, groźby przez Internet) aż do konkretnego komputera w konkretnym budynku i… sprawa jest umarzana. Dlaczego? W danym budynku może pracować 10 osób albo mieszkać 5 osobowa rodzina, wszyscy korzystają z tego samego komputera i nikt się nie przyznaje. Mogliby wtedy zadziałać, gdyby mieszkał tam jakiś samotnik, który miałby komputer ORAZ router domowy zabezpieczony tak, że tylko ona sam mógłby się tam zalogować.

Przywołałeś przykład sieci w jednym pokoju. Ten przykład jest o tyle korzystny dla Twojej tezy, że ludzie w jednym pokoju, gdy są podłączeniu do jednej sieci, będą prawdopodobnie widzieć swoje “bezpośrednie IP”, nie będzie widać urządzeń pośredniczących. W dalszym ciągu jednak żadna z osób, gdyby jej przedstawić numer IP, nie potrafiłaby powiedzieć, do którego urządzenia ono należy ani tym samym do jakiej osoby. Dodatkowo że końcowi użytkownicy zazwyczaj mają zmienne IP.

Wobec tego kiedy adres IP ma możliwość być danymi osobowymi? W połączeniu z dodatkowymi informacjami – najlepiej z loginem czy adresem e-mail użytym w którymś momencie podczas korzystania z Internetu. Wówczas adres IP rozszerza możliwości śledzenia działań danej osoby, aczkolwiek i tak jest w tym zupełnie kiepski. Stąd rozwijają się techniki tzw. internetowego fingerprintingu, które próbują skonstruować w sposób matematyczny unikalny numer identyfikacyjny użytkownika biorąc pod uwagę właściwości karty graficznej, rozdzielczości monitora i wiele, wiele innych informacji, które uzyskać można na temat internauty. Dużym problemem dla podmiotów śledzących jest śledzenie pracowników firm, bo Ci przeważnie nie tylko mają wspólny adres IP, ale zazwyczaj też identyczne komputery (firma zakupuje np. 200 sztuk identycznych w ramach przetargu). Nawet na to jednak znajduje się sposoby, np. wykorzystując błędy w protokole WebRTC do przechwycenia dodatkowych wewnętrznych adresów IP.


Teraz kilka cytatów z wyroku TSUE z dnia 19 października 2016 r. w sprawie C‑582/14. Sprawa dotyczyła zbierania adresów IP w logach serwerowych.

Trybunał uznał zasadniczo, że adresy IP użytkowników Internetu stanowią chronione dane osobowe, jako że pozwalają na precyzyjną identyfikację tych użytkowników. Niemniej powyższe twierdzenie Trybunału odnosiło się do przypadku, w którym gromadzenie i identyfikacja adresów IP użytkowników Internetu są dokonywane przez dostawców dostępu do Internetu.

Czyli adresy IP same w sobie są danymi osobowymi, gdy są przetwarzane przez operatorów telekomunikacyjnych. Wynika to z tego, że mają oni możliwości dochodzenia tożsamości użytkowników, której nie ma nikt inny. Dla nikogo innego nie są one danymi osobowymi same w sobie.

bezsporne jest, iż dynamiczny adres IP nie stanowi informacji odnoszącej się do „zidentyfikowanej osoby fizycznej”, jako że taki adres nie ujawnia bezpośrednio tożsamości osoby fizycznej będącej właścicielem komputera, z którego była przeglądana strona internetowa, ani tożsamości innej osoby, która mogłaby korzystać z tego komputera.

Czyli dynamiczny adres IP sam w sobie nie stanowi danych osobowych.

Należy jednak ustalić, czy możliwość połączenia dynamicznego adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą.

Czyli adresy IP mogą stać się danymi osobowymi jeżeli ten, kto je przetwarza, dysponuje dodatkowymi informacjami.

dynamiczny adres IP zarejestrowany przez dostawcę usług medialnych online przy okazji przeglądania przez daną osobę strony internetowej, którą dostawca ten udostępnia publicznie, stanowi wobec tego dostawcy dane osobowe w rozumieniu tego przepisu, w sytuacji gdy dysponuje on środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom, jakimi dysponuje dostawca dostępu do Internetu dla tej osoby.

To jest bardzo interesująca wypowiedź. Dotyczy ona sytuacji takiej, w której “dostawca usług medialnych” (np. serwis internetowy) może w świetle prawa zwrócić się do operatora telekomunikacyjnego (np. Netia, Orange etc.) o uzyskanie dodatkowych informacji o danym adresie IP celem np. wszczęcia postępowania karnego. Jeżeli takie coś jest możliwe prawnie w danym kraju, to wówczas można mówić o tym, że adres IP – nawet dynamiczny – stanowi dane osobowe.

Czy w Polsce w takim razie jest to możliwe? Wedle mojej obecnej wiedzy: nie. Operator może współpracować w tej sprawie np. z Policją, ale nie ze zwykłym “dostawcą usług”. Innymi słowy, dynamiczny adres IP nie jest wtedy daną osobową.

Co jednak w przypadku adresów IP pochodzących spoza Polski? Jeżeli byłyby kraje, z których operatorzy udzielaliby takich informacji wobec ludzi, których obsługują, wówczas naturalnie mielibyśmy dane osobowe.

Rozmaite uzupełniające rozważania na ten temat znalazłem też tutaj i polecam:

Dla kompletności wspomnę tutaj jeszcze o interpretacji GIODO zza czasów poprzedniej ustawy:

adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

Sztuczna inteligencja generuje sztuczną ludzką twarz na życzenie

Technologiczne portale piszą o tym od trzech dni, bo to fajna sprawa: ktoś stworzył stronę internetową która po każdym odświeżeniu generuje za pomocą sztucznej inteligencji nową ludzką twarz (albo też udostępnia ze zbioru uprzednio wygenerowanych twarzy, bo coś za szybko to działa). Wiele twarzy jest naprawdę nieźle wygenerowanych, trzeba chwili przyglądania się, aby zauważyć defekty: nieprawidłowy rozstaw zębów, niewłasciwy kształt ucha, coś nie tak z oprawkami okularów. No i raz na jakiś czas trafia sie obraz z wyraźną wadą. Tym nie mniej fajnie jest sobie móc generować ludzie twarze i zadumać się nad zjawiskiem ich percepcji. Oraz zadumać nad tym co nas czeka w przyszłości: np. spadek zapotrzebowania na modelów i modelki. Ich postacie będą mogły być doskonale wygenerowane.

Zajrzyjcie i poodświeżajcie przeglądarkę (najlepiej na małym ekranie, bo na dużym magia szybko pryśnie):
https://thispersondoesnotexist.com/

A tutaj można znaleźć m.in. gotowe 100 000 (!) wygenerowanych twarzy w ramach oraz tekst licencji (jeden z wariantów Creative Commons, w skrócie: do zastosowań niekomercyjnych można z tym robić wszystko):
https://drive.google.com/…/1uka3a1noXHAydRPRbknqwKVGODvnmUBX

Jak ktoś ma trochę zdolności programistycznych, to kod źródłowy generatora twarzy jest tutaj:
https://github.com/NVlabs/stylegan

Sztuczna inteligencja została wyuczona tworzenia nowych twarzy po zapoznaniu się z 70 000 prawdziwymi twarzami wziętymi z serwisu Flickr i udostępnionymi nam na wolnych licencjach:
https://github.com/NVlabs/ffhq-dataset

Ciekawostki

Ta sama technologia użyta do generowania twarzy postaci z japońskich kreskówek. Podejmowane są też próby z dziełami sztuki.

To jest trochę creepy, ktoś podłączył sztuczną inteligencję do tygodniowego archiwum zdjęć z fotobudki.

Więcej ciekawostek (aktualizacja 26 lutego)

  • https://www.thiswaifudoesnotexist.net/
  • https://thisartdoesnotexist.glitch.me/
  • http://thesecatsdonotexist.com/

Niepełnosprawni mogliby być astronautami

Interesujący tekst o tym, że osoby niepełnosprawne mogą pod pewnymi względami lepiej nadawać się do roli astonautów niż osoby pełnosprawne. Niektórzy niepełnosprawni są często zmuszeni do polegania na zewnętrznych pomocniczych urządzeniach, do których muszą dostosować swoje ciało, swoją percepcję, przez co mają lepiej rozwiniętą koordynację ręka-oko. Taki niepełnosprawny byłby prawdopodobnie lepszym użytkownikiem kombinezonu astronauty niż osoba pełnosprawna. W stosunku do niepełnosprawnych świat zewnętrzny jest częściej “obcy” i muszą wypracować sobie zdolność adaptowania się do niego, improwizowania rozwiązań, znajdowania nieoczywistych sposobów poruszania sie i interakcji. To bardzo pożądane cechy dla kogoś, kto będąc w przestrzeni kosmicznej naprawdę znajdzie się w innym świecie o innych regułach ruchu i oddziaływania. Artykuł przywołuje też i inne ciekawe przykłady dając do myślenia, że “pełnosprawny” to zasadniczo człowiek przystosowany do świata na powierzchni planety a niekoniecznie do stanów nieważkości i ograniczeń stacji kosmicznej.

Kalkulatory kolorów dla funkcji SCSS

Dla czystości kodu można chcieć utrzymywać w arkuszu SCSS niewielką liczbę podstawowych kolorów, które są przypisane do odpowiednich zmiennych, oraz na ich podstawie generować kolory pochodne za pomocą palety funkcji transformujących, które udostępnia SCSS – np. darken, adjust-hue i inne. Co jednak zrobić, gdy kolory są nam zlecane z zewnątrz już gotowymi wartościami RGB? Jeżeli znane są tutaj kolory podstawowe oraz pochodne, to można skorzystać z kalkualtorów wyznaczających zestaw funkcji transformujących!

Załóżmy, że głównym kolorem na naszej stronie WWW jest #679340, ale oto nagle nasz klient zgłasza nam potrzebę, aby w jednym miejscu tekst był “w tym kolorze ale ciemniejszy” i po chwili podsyła konkretnie dobrany odcień: #34523a. Wówczas korzystamy z jednego z wielu online-owych kalkulatorów:

Jak widzimy, wyniki są bardzo podobne. Różnią się szczegółami, ale ich wynik ostatecznie jest ten sam.

Aby ewentualnie dopomóc sobie i naszym klientom w doborze kolorów w taki sposób, aby od razu znać funkcję transformującą, warto skorzystać z Sass Color Generator, który pozwala w przejrzysty sposób obejrzeć i porównać różne warianty zmiany podstawowego koloru za pomocą funkcjo lighten, darken, saturate, desaturate.